Parece que a pesar de los esfuerzos de Microsoft en mejorar su navegador, Internet Explorer sigue teniendo agujeros de seguridad. El último que se ha descubierto afecta a todas las versiones desde la sexta, y permite a cualquier página seguir todos los movimientos del ratón, incluso con la ventana minimizada o inactiva.
El exploit de la vulnerabilidad es bastante sencillo conceptualmente. Se crea una función en JavaScript una función que se activa con el evento OnMouseMove de la página. Cuando lo hace, recibe los datos de posición del ratón, de la ventana y de las teclas modificadoras (Control, Alt o Shift) que estén pulsadas.
El exploit de la vulnerabilidad es bastante sencillo conceptualmente. Se crea una función en JavaScript una función que se activa con el evento OnMouseMove de la página. Cuando lo hace, recibe los datos de posición del ratón, de la ventana y de las teclas modificadoras (Control, Alt o Shift) que estén pulsadas.
Normalmente, este evento sólo se activa cuando se mueve el ratón encima de la página. Sin embargo, hay una función fireEvent que activa manualmente cualquier evento. El exploit consiste en llamar continuamente a esta función para activar el evento, y así leer la posición del ratón incluso con la ventana de Internet Explorer minimizada o inactiva.
Esta vulnerabilidad afecta a cualquier persona que use teclados virtuales para introducir datos confidenciales: no sería demasiado difícil adivinar qué teclas se habrían pulsado según los movimientos del ratón. Por ejemplo podría incluirse este código en un anuncio que aparezca en varias páginas web. Si en alguna de esas páginas web hay un formulario de inicio de sesión, el script podría quedarse con los movimientos del ratón y extraer el usuario y contraseña de los visitantes que usen teclados virtuales.
Los que no usemos estas aplicaciones no corremos mucho riesgo: no sirve de nada saber a donde mueves el ratón si no saben qué hay debajo. No parece un bug muy relevante porque pocos usuarios podrían verse realmente afectados. Lo malo es que Microsoft piensa lo mismo, y no va a preparar un parche inmediato para Internet Explorer.
Si tenéis curiosidad, los investigadores que han descubierto la vulnerabilidad han preparado una página de muestra, e incluso un juego para ver quién es el más rápido en descubrir las teclas pulsadas en un teclado virtual usando los movimientos del ratón.
0 comentarios:
Publicar un comentario
Comenta nuestra Publicación